王立梅：侵犯公民个人信息罪与《个人信息保护法》的关系与衔接

《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）是侵犯公民个人信息罪的前置法。一般认为，《中华人民共和国刑法》（以下简称《刑法》）第253条之一规定的侵犯公民个人信息罪属于法定犯，以“违反国家有关规定”作为适用该罪的前提，可见该罪构成要件依赖前置法的补充。后来施行的《个人信息保护法》等有关法律规范可自然纳入“国家有关规定”的范围，《刑法》有足够的适应空间。从规范文本上来看，侵犯公民个人信息罪相关规范与《个人信息保护法》形成了双向衔接。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）第2条规定：“违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第二百五十三条之一规定的‘违反国家有关规定’。”同时，《个人信息保护法》第71条规定，“违反本法规定……构成犯罪的，依法追究刑事责任”。从责任体系上来看，《个人信息保护法》与《刑法》相互协同才能形成完整的个人信息保护责任体系。一方面，个人信息保护法律制度具有典型的领域法特征，仅规定了民事责任与行政责任的《个人信息保护法》是“不完整”的领域法，需要与《刑法》相关规范配合，共同组成责任体系完备的领域法；另一方面，侵犯公民个人信息罪的违法性判断也须考虑《个人信息保护法》的相关规定，以维护法秩序的统一。

但是，《个人信息保护法》的出台虽然填补了前置法空白，但两法在规范逻辑等方面的差异也造成了行政监管与刑事制裁的关系模糊、刑事责任范围不当扩张。

一是个人信息敏感程度界分差异。《个人信息保护法》将个人信息分为敏感个人信息和一般个人信息两类，对敏感个人信息采取了“定义+开放列举”的界定方式，并配置了不同的保护规则；《解释》第5条第1款第三项至第五项则将个人信息分为高度敏感个人信息、敏感个人信息和一般个人信息三类，同时分别规定了具体的入罪标准。《解释》对敏感个人信息进行再分类，有利于基于敏感程度实现入罪标准精细化。但是，《解释》对“行踪轨迹信息、通信内容、征信信息、财产信息”四类高度敏感信息进行封闭列举，容易导致分类分级保护机械化，无法将个人信息处理场景对个人信息敏感程度的影响考虑在内。

二是处理行为模式的差异。《个人信息保护法》中的个人信息处理行为包括对个人信息的“收集、存储、使用、加工、运输、提供、公开、删除等”，而侵犯公民个人信息罪规制的个人信息处理行为仅包括“出售或提供”和“窃取或者以其他方法非法获取”。也就是说，《个人信息保护法》设定了个人信息保护的全生命周期的保护，而《刑法》则只打击个人信息的不法流转，对个人信息的不法使用没有关注。比如，企业对于在经营中留存的个人信息，即使在没有征得同意的情况下进行使用，也不构成刑事犯罪。因此，侵犯公民个人信息罪规制的个人信息处理行为类型与《个人信息保护法》并不完全对应。

三是笼统式授权条款缺乏规范的指引性。《个人信息保护法》中违反本法规定，构成犯罪的，依法追究刑事责任等笼统式条款，虽然为《个人信息保护法》和《刑法》的衔接提供了规范依据，但该条款的宣示意味更强，并不意味着违反《个人信息保护法》的行为因情节严重而必然入罪，实际裁判仍然依赖《刑法》的独立判断。如何通过《个人信息保护法》调控《刑法》的处罚范围，有待理论研究和实践进一步探索。

▐  二、侵犯公民个人信息罪与《个人信息保护法》的基本逻辑关系

对于侵犯公民个人信息罪违法性的审查，学术界的主流观点是缓和的违法一元论。即前置法合法的行为，刑法评价一定出罪化；前置法违法的行为，刑法评价也未必一定入罪。因此，适用本罪时应当恪守刑法的谦抑性，一是不能对前置法所作的违法性判断“照单全收”，二是不能将前置法上的合法行为评价为刑事不法，造成“刑民倒挂”或“刑行倒挂”。

第一，要考虑刑法在法律体系中的补充性。在侵犯公民个人信息罪这类罪状之中，构成犯罪以违反前置性规范为前提。周光权教授认为，“刑法谦抑性的核心在于刑法的补充性”，“刑法补充性的核心是在其他部门法上合法的行为，以及其他部门法足以规制的行为，不是刑法的处罚对象”。也就是说，仅有其他法律手段无法实现充分保护时，才需要通过刑法来实现法益保护。

第二，要考虑刑法本身的独立性。正如侵犯公民个人信息罪与《个人信息保护法》所体现的，刑法与前置法之间的关系并非完全对应。法秩序统一要求刑事违法的判断要顾及前置法的评价，但并不意味着刑法评价完全从属于前置法的评价。从正面来看，刑法具备自身固有的违法性标准，要求对法益侵害的严重性作实质性的司法审查，与其他部门法的违法性判断标准相区分。从反面来看，刑法对于实体层面上违反前置法情节轻微的行为，以及程序层面上前置法通过推定规则作出违法评价的行为，均不宜认定为刑事不法。

▐  三、侵犯公民个人信息罪与《个人信息保护法》在司法中的衔接

第一，在入罪标准上应结合前置法规定明确刑事违法性审查标准，防止刑事责任范围的不当扩张。一是个人信息保护范围的厘定。对于个人信息的界定，《解释》与《个人信息保护法》的表述虽略有差异，但实质相同，特别是在个人信息的核心特征“可识别性”上均保持一致，这亦是法秩序统一原理的内在要求。在原则层面上，应防止个人信息概念扩张导致侵犯公民个人信息罪的泛化适用，排除诸如电商数据、运营数据等仅作数据化使用的单纯关联性数据。在例外层面上，应结合个案的具体场景审慎考虑将《解释》所规定的“反映特定自然人活动情况的各种信息”纳入个人信息的范畴，将《个人信息保护法》所称的与已识别或者可识别的自然人“有关”的各种信息作为刑法意义上的个人信息时应予以严格解释。二是敏感个人信息再分类的场景化。个人信息的敏感程度与其所在应用场景关联密切，不同的信息主体、处理者、处理方式都可能使同类个人信息呈现不同的敏感性。也就是说，《解释》第5条第1款第三项列举的四类高度敏感信息并非在任何场景下都相较其他个人信息更为敏感，也并非所有其他类型的个人信息在任何场景下都达不到高度敏感的程度。目前《解释》对高度敏感信息的封闭式列举，在不同场景中面临着过宽或过窄的僵化困境。在修改《解释》时，对于高度敏感信息的界定，在理念上应注重普遍性与特殊性的结合，兼顾场景原理下同类个人信息的敏感性差异；在立法技术上应考虑从事前列举转向要件设定，降低对绝对性类型列举的依赖。三是建立法益侵害严重性的刑事司法审查标准，限缩个人信息刑事责任的范围。例如，《个人信息保护法》第66条将个人信息行政违法情形划分为“违反本法规定处理个人信息”和“处理个人信息未履行本法规定的个人信息保护义务”两类，基本上分别对应《个人信息保护法》第二章和第五章的相关规定。虽然《个人信息保护法》第五章的内容具有法律强制力，但对未履行安全保护义务这类消极行为作刑事不法评价，应持审慎态度，并设置相对严格的判定标准。四是警惕个人信息非法处理行为入罪的扩张，防止将《刑法》规定的出售、提供、窃取、非法获取个人信息等行为随意扩大解释到《个人信息保护法》中的其他违法处理行为。

第二，在出罪机制上可将《个人信息保护法》中个人信息处理的合法性依据及符合要求的技术处理转化为刑法上的违法阻却事由，避免将民事和行政上合法或违法情节轻微的行为评价为刑事不法行为。一是基于有效同意的违法阻却事由。当同意符合“充分知情、自愿、明确”的一般要求，且私密信息取得权利人“明确同意”，敏感个人信息取得“单独同意”，以及部分个人信息依照法律法规取得“书面同意”时，可直接排除个人信息出售或提供行为的刑事不法。二是基于法定许可的违法阻却事由。《个人信息保护法》第13条确立了6种个人信息的法定许可规则，体现了《个人信息保护法》在个人信息权益与公共利益之间的利益衡量，《刑法》的法益衡量应当尊重《个人信息保护法》的立法选择，阻却符合法定许可规则的行为的刑事违法性。三是经由技术处理后，后续个人信息处理行为对公民人身、财产安全的影响程度显著轻微，可考虑在个案中不作刑事不法评价。典型者如个人信息匿名化处理，个人信息处理者事先通过充分的技术风险评估，确认一般主体无法在合理限度内识别个人，且复原的技术难度和所需成本非一般主体可承受，此时应认为达到了“匿名化”的要求，从而阻却后续个人信息处理行为的刑事违法性。

侵犯公民个人信息罪与《个人信息保护法》的妥善衔接需要《解释》的适时更新。《解释》出台于《个人信息保护法》之前，《个人信息保护法》中确立的个人信息保护与合理利用并重的法律理念应当体现在司法解释中，促进《刑法》和《个人信息保护法》的有效衔接。（责任编辑：邓永民）